今天登录服务器控制台,收到了一条漏洞提示:
OpenSSL 拒绝服务漏洞(CVE-2020-1971),强迫症表示完全受不了自己的主机有这么大一个漏洞,感觉上网搜索修复方案。这是一个前几天才爆出来的漏洞,虽然网上的信息较少,但还是找到了解决方法。
修复方法
将 OpenSSL
升级到 1.1.1i
首先通过ssh连接上服务器,使用一下代码查看一下现在的openssl
版本:
openssl version
是很老的版本了,升级势在必行。
下载OpenSSL
进入到用户的/usr/local/src
目录使用下面的命令下载OpenSSL1.1.1i
的安装包:
sudo wget https://github.com/openssl/openssl/archive/OpenSSL_1_1_1i.tar.gz
下载速度偏慢,需要耐心等待一会儿。如下:
解压
进入到src
目录使用tar -zxvf
命令进行解压,如下:
编译安装
此时,进入到解压过后的文件目录,使用下面的命令进行编译安装。
注意:此时需要把用户切换到root来执行,我试过用sudo来执行,会报权限错误
./config --prefix=/usr/loca/openssl
完了过后再使用下面的命令编译安装:
make && make install
此过程稍长,请耐心等待。如果没有任何的报错,就可以把安装的最新版本的openssl
替换掉系统现有的版本。
替换
先备份一下老的openssl:
mv /usr/bin/openssl /usr/bin/openssl.old
mv /usr/lib64/openssl /usr/lib64/openssl.old
mv /usr/lib64/libssl.so /usr/lib64/libssl.so.old
然后创建软链指向我们新安装的openssl:
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
ln -s /usr/local/openssl/include/openssl /usr/include/openssl
ln -s /usr/local/openssl/lib/libssl.so /usr/lib64/libssl.so
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v
检验
最后再查看一下openssl的版本是不是最新版本:
回到服务器控制台漏洞检测中心,重新检测一下漏洞,警告提示就消失了:
为了你的主机安全,赶紧行动起来吧。
文章评论